今やWordpressはもとより、それに使われるプラグインの脆弱性をついて
悪意あるさまざまな試みがされ続けています。
特にプラグインの脆弱性をついて
認証なしで管理者ユーザーが作成されてしまい、そのユーザーを経由してWordPressを不正に操作されると大変なことになります。
認証なしで管理者ユーザーが作成されるというのは、非常に危険度が高く、乗っ取られる可能性も非常に高いという事です。
以下、案内文
【重要】WordPressプラグイン「LiteSpeed Cache(6.3.0.1以下)」における緊急性の高い脆弱性について
「WordPress」のプラグイン「LiteSpeed Cache(6.3.0.1以下)」のご利用環境において、
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、提供元より脆弱性対策が施された修正版がリリースされております。
また、この脆弱性を標的とした攻撃が発生している旨の情報が、セキュリティ関連機関を中心に発信されております。
■脆弱性を確認したプラグイン
LiteSpeed Cache(6.3.0.1以下)(2024年8月23日現在、「6.4.1」が最新版)
■脆弱性の影響
認証なしで管理者ユーザーが作成され、そのユーザーを経由してWordPressを不正に操作される可能性があります。
今回のWordPressプラグイン「LiteSpeed Cache(6.3.0.1以下)」に限らず、
WordPressに使われているプラグイン全てにこのような認証なしで管理者ユーザーが作成されるという事が起こりうることを示唆しています。
昔から悪意のある輩たちの目的は、サイトの乗っ取りによる改ざん、情報漏洩、乗っ取りサイトの悪用などになりますから。
ちなみに、現在、当爆速サイトは、3つのプラグインのみとなっています。Wordpressは常に最新バージョン(Ver.6.6.1 :2024年8月15日)、PHPも最新バージョン、プラグインは極力減らしたほうが安心安全で好ましく、Wordpress最新バージョンに対応していて定期的にアップデートしているものを使うことです。
WordPressを最新バージョンで運用する理由
WordPressはオープンソース(ソースコードが公開されている)のため、 旧バージョンで運用していると、当然既知のセキュリティの脆弱性が狙われるリスクが高まります 。
プログラム言語の知識がなくても手軽に運用できるようになり世界中に普及しているWordPressは、セキュリティの脆弱性を修正したアップデートを繰り返し行っています。
セキュリティの脆弱性が狙われるリスクを極力抑えるために最新バージョンを維持し続けることが重要となります。
以下の表を見てもわかるようにWordpress Ver.6.5は公式サポートが終了しています。
老婆心ながら、Ver.6.5以前のバージョンも公式サポートが終了しています。
公式サポートを行っているのは、Ver.6.6となります。
WordPress | リリース日 | 公式サポート終了日 | 最終パッチバージョン |
6.6 | 2024年7月16日 | サポート中 | 6.6.1 |
6.5 | 2024年4月2日 | 2024年7月16日 | 6.5.5 |
爆速サイトにすることで表示スピードが高速になり訪問者も安心してストレスなくサクサク閲覧できます。
下のPageSpeed Insightsの測定結果を見るとわかりますが、サイトヘルス・オールグリーンとなっています。
ロリポップのLiteSpeedを導入すると既に爆速化しているため、Wordpressを高速化する必要がありません。
PR ロリポップ【期間限定】契約期間が2倍になるキャンペーン実施中!
やはり時代は、認証を常に行うことで不正アクセスを未然に防止していないと大事故になりかねません。
改ざんはもとより、乗っ取られてしまうと大変なことになることはお判りだと思います。
WordPressに認証システムを導入することはこれからは必須となりましょう。
大事故が起こってからではあまりにも損害が大きくなってしまうことでしょう。
当爆速サイトでも認証システムを導入しており、ログインする度に認証を通すようになっています。
そのため、プラグインの脆弱性をついて乗っ取ろうとしても認証システムを導入しているので未然に防ぐことができます。
要するに、認証をパスしないと一切の操作ができないようになっています。
コメント